コラボレーション エンドポイント : Cisco 871 Integrated Services Router

SDM による固定 ISR のワイヤレス認証種別の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 2 月 29 日) | フィードバック


目次


概要

この資料は Security Device Manager (SDM)でワイヤレス接続のための Ciscoワイヤレス統合固定構成 ルータのさまざまなレイヤ2 認証種別を設定する方法を説明する設定例を提供したものです。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • SDM で Cisco 統合サービス ルータ(ISR)の基本的なパラメータを設定する方法のナレッジ

  • Aironet Desktop Utility(ADU)を使用して 802.11a/b/g 無線クライアント アダプタを設定する方法についての知識。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS を実行する Cisco 877W ISR か。 ソフトウェア リリース 12.3(8)YI1

  • ISR でインストールされる Cisco SDM バージョン 2.4.1

  • Aironet Desktop Utility バージョン 3.6 がインストールされているラップトップ PC

  • ファームウェア バージョン 3.6 が稼働する 802.11 a/b/g クライアント アダプタ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Cisco SDM は Cisco IOS ソフトウェアベースのルータのための直観的な、Webベース デバイス管理 ツールです。 Cisco SDM は顧客がシスコシステムズを展開し、設定し、監視するのを迅速かつ簡単に助けるスマートなウィザードを通してルータおよびセキュリティとコンフィギュレーションを簡約化します、か。 Cisco IOSソフトウェア Command Line Interface (CLI)のナレッジを必要としないでルータ。

SDM は Cisco.com の Software Center から無料でダウンロードすることができます。

SDM は各の別途のコピー個々のルータ、かまた PC でインストールすることができると同時に独自にインストールすることができます。 PC でインストールされる Cisco SDM はネットワークの適切な IOSイメージを実行する他のルータを管理するのに SDM を使用することを可能にします。 ただし、PC の SDM はデフォルトを製造するためにルータコンフィギュレーションのリセットをサポートしません。

この資料はワイヤレス認証のためのルータを設定するために無線ルータでインストールされる SDM を使用します。

Cisco SDM はルータと 2 つの目的で伝えます:

  • PC にダウンロードのための Cisco SDM 登録簿にアクセスして下さい

  • ルータコンフィギュレーションおよびステータスを読み、書いて下さい

Cisco SDM は PC に登録簿(sdm.tar、home.tar)をダウンロードするのに HTTP を使用します。 HTTP および Telnet/SSH の組み合せがルータコンフィギュレーションを読み、書き込むのに利用しています。

SDM をサポートする IOSソフトウェアリリースおよびルータの最新情報に関しては Cisco Router and Security Device Manager Q&A を参照して下さい。

ルータの Cisco SDM を使用する方法に関する詳細については SDM をサポートするために設定しますルータを参照して下さい。

インストールをルータまたは PC で SDM ファイルをインストールし、ダウンロードする手順に関しては SDM ファイル参照して下さい。

設定

資料に SDM によってこれらの認証種別を設定する方法を説明されています:

  • WEP暗号化を用いるオープン認証

  • MAC 認証と開いて下さい

  • 共用認証

  • 802.1x/Extensible 認証プロトコル(EAP)認証

  • Wi-Fi Protected Access (WPA) -前に共有鍵(PSK)認証

  • WPA 認証

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/98584/isr-sdm-config1.gif

このセットアップはワイヤレス ISR のローカル RADIUSサーバを 802.1X 認証を使用して無線クライアントを認証するのに使用します。

SDM アクセスのためのルータを設定して下さい

ルータが SDM によってアクセスされるようにこれらのステップを完了して下さい:

  1. SDM をサポートするために説明されるプロシージャを使用してアクセスがルータを設定する https/http のためのルータを設定して下さい。

  2. これらのステップのルータに IP アドレスを割り当てて下さい:

    Router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#interface fastEthernet 0
    Router(config-if)#ip address10.77.244.197 255.255.255.224
     
    
            % IP addresses cannot be configured on L2 links.
    

    871W ルータでは、そのようなエラーメッセージが表示するかもしれません。 このエラーメッセージはファースト イーサネット 0 が IP アドレスを設定できないレイヤ2 リンクであることを示します。

  3. この問題を解決するために、レイヤ3 (VLAN)インターフェイスを作成し、これらのステップによって同じの IP アドレスを割り当てて下さい:

    Router(config)#interface Vlan1
    Router(config-if)#ip address 10.77.244.197 255.255.255.224
    
    
  4. レイヤ2 ファースト イーサネットのこの VLAN にこれらのステップの 0 インターフェイスを与えて下さい。 この資料はトランクインターフェイスで VLAN1 を可能にするためにファーストイーサネット インターフェイスを設定したものです。 またアクセスインターフェイスでそれを設定し、ネットワーク セットアップごとのインターフェイスの VLAN1 を許可することができます。

    Router(config)#interface fastEthernet 0
    
    Router(config-if)#switchport trunk encapsulation dot1q 
    Router(config-if)#switchport trunk allowed vlan add vlan1
    
    !--- This command allows VLAN1 through the fast ethernet interface. 
    !--- In order to allow all VLANs through this interface, issue the 
    !--- switchport trunk allowed vlan add all command on this interface.
    
    

    この例は基本的なルータおよびワイヤレス コンフィギュレーションがルータで既に行われていると仮定します。 従って、次 の ステップは早急に認証パラメータを設定するためにルータのワイヤレス アプリケーションを起動させることです。

ルータの SDM ワイヤレス アプリケーションを起動させて下さい

ワイヤレス アプリケーションを起動させるためにこれらのステップを完了して下さい:

  1. ブラウザを開き、ルータの IP アドレスを入力することから SDM を開始して下さい。

    acccept にプロンプト表示されるか、またはこれとして考慮される Webブラウザ セキュリティ警報 ウィンドウを低下させます:

    isr-sdm-config2.gif

  2. [Yes] をクリックして次に進みます。

  3. 現われるウィンドウで、ルータにアクセスするために特権 level_15 ユーザ名 および パスワードを入力して下さい。

    この例はユーザ名 および パスワードとして admin を使用します:

    /image/gif/paws/98584/isr-sdm-config3.gif

  4. [OK] をクリックして、次に進みます。 それが必要となるところはどこでも同じ情報を入力して下さい。

  5. SDM アプリケーションを起動させること結果として生じるページで適切ように『Yes』 をクリック し、承諾して下さい

    SDM アプリケーションが開くと同時に署名された機密保護証明書を受け入れるために、セキュリティ警報 ウィンドウによってプロンプト表示されます。

  6. 署名入り認証を受け入れるために『Yes』 をクリック して下さい。

    /image/gif/paws/98584/isr-sdm-config4.gif

    このように結果として生じる Ciscoルータおよび SDM メイン ページな:

    /image/gif/paws/98584/isr-sdm-config5.gif

  7. このページで、ルータを起動させるために上で設定します Mode ウィンドウを『Configure』 をクリック して下さい。

  8. 設定 Mode ウィンドウで、このページの左側で現われるタスク カラムからの接続『Interfaces』 を選択 すれば。

  9. インターフェイスおよび Connections ウィンドウで、Create Connection タブをクリックして下さい。

    これは利用可能 なすべてのインターフェイスをルータで設定されるためにリストします。

  10. ワイヤレス アプリケーションを起動させるために、インターフェイスのリストから『Wireless』 を選択 して下さい。 それから、起動ワイヤレス アプリケーションをクリックして下さい。

    このスクリーン ショットはステップ 8、9 および 10 を説明します:

    /image/gif/paws/98584/isr-sdm-config6.gif

    これはさまざまな認証種別が設定することができる個々のウィンドウの SDM ワイヤレス アプリケーションを起動させます。

    このように SDM ワイヤレス アプリケーション ホームページな:

    /image/gif/paws/98584/isr-sdm-config7.gif

    SSID がインターフェイスで設定されないのでソフトウェア ステータスが無効である無線(ワイヤレス)インターフェイスのハードウェア の 状態がダウンしていることを観察すれば。 次に無線クライアントがこのインターフェイスを通って通信できるように、この無線インターフェイスの SSID および認証種別を設定します。

WEP暗号化でオープン認証を設定して下さい

オープン認証は、ヌル認証アルゴリズムです。 Access Point (AP)は認証のための要求を与えます。 オープン認証は、あらゆるデバイスのネットワーク アクセスを可能にします。 no encryption がネットワークで有効に なる場合、AP の SSID を知っているどのデバイスでもネットワークへのアクセス権を得ることができます。 AP で有効に されて WEP暗号化が WEPキー自体はアクセスコントロールの方法になります。 デバイスが正しい WEPキーを備えない場合、認証が正常であるのに、デバイスは AP によってデータを送信することができません。 また、それは AP から送信 される データを復号化できません。

詳細についてはアクセス ポイントにオープン認証を参照して下さい。

この例は WEP暗号化とオープン認証のためにこれらのコンフィギュレーションパラメータを使用します:

  • SSID 名: openwep

  • [VLAN ID]: 1

  • VLAN IP アドレス: 10.1.1.1/16

  • この VLAN/SSID の無線クライアントのための DHCPアドレス 範囲: 10.1.1.5/16 - 10.1.1.10/16

WEP でオープン認証を設定するためにこれらのステップを完了して下さい:

  1. ワイヤレス アプリケーション ホームページで、サービス > VLAN を VLAN を設定するために『Wireless』 をクリック して下さい。

    /image/gif/paws/98584/isr-sdm-config8.gif

  2. サービスからルーティングを選択して下さい: VLAN ページ。

    /image/gif/paws/98584/isr-sdm-config9.gif

  3. サービス: VLANルーティング ページは、VLAN を作成し、無線インターフェイスに割り当てます。

    これは無線インターフェイスの VLAN1 のコンフィギュレーションウィンドウです。 VLAN1 はここにネイティブ VLAN です:

    isr-sdm-config10.gif

  4. ワイヤレス アプリケーション ホームページで、セキュリティ > SSID マネージャを SSID および認証種別を設定するために『Wireless』 を選択 して下さい。

  5. セキュリティ: SSID マネージャ ページは、SSID を設定し、無線インターフェイスの SSID を有効に するために step1 で作成される VLAN に SSID を割り当てます。

  6. このページの認証設定セクションの下で、『Open Authentication』 を選択 して下さい。

    これらのステップを説明するコンフィギュレーションウィンドウはここにあります:

    /image/gif/paws/98584/isr-sdm-config11.gif

  7. [Apply] をクリックします。

    Open Authentication チェックボックスに対応するドロップダウン ボックスはオープン認証が EAP または MAC 認証のような複数の追加認証種別でさらに、設定することができることを意味します。 このセクションは付加無しでオープン認証だけ論議します(追加認証種別なしで)。

  8. この SSID/VLAN のための WEP暗号化を設定して下さい。 ワイヤレス ホームページで、セキュリティ > 暗号化マネージャを暗号化設定を行うために『Wireless』 を選択 して下さい。

    1. セキュリティ: Encryption Manager ページ、VLAN1 のための暗号化モードおよびキーを設定 して下さい。

    2. 『WEP Encryption』 を選択 して下さい: 暗号化モードとして必須

    3. この VLAN のための暗号化キーを設定 して下さい。

      このセクションはこれらの暗号化キー設定を使用します:

      • 暗号化キー slot1: 送信する キーとして使用される

      • 暗号化キー サイズ: 40 ビット

      • 16進値の暗号化キー: 1234567890

      同じ暗号化キー スロット(1 無線クライアントで送信する キーとして、この場合)は使用する必要があります。 また、無線クライアントは同じキー値(1234567890 この場合)で無線クライアントがこの WLANネットワークと通信することができるように設定する必要があります。

      このコンフィギュレーションウィンドウはこれらのステップを説明します:

      /image/gif/paws/98584/isr-sdm-config12.gif

    このワイヤレスセキュリティ ページはコンフィギュレーション全体を表します:

    /image/gif/paws/98584/isr-sdm-config13.gif

この VLAN の無線クライアントのための内部 DHCPサーバを設定して下さい

ルータの内部 DHCPサーバを設定するためにこれらのステップを完了して下さい。 これは無線クライアントに IP アドレスを割り当てることを推奨されて、方式けれどもオプションのです。

  1. SDM で Mode ウィンドウを、選択しますウィンドウの左側にあるタスク カラムの下で追加タスクを設定して下さい。

    /image/gif/paws/98584/isr-sdm-config14.gif

  2. 追加タスク ページで、DHCP ツリーを拡張し、この例に示すようにプールを『DHCP』 を選択 して下さい。 このページの右側で示されている DHCP プール カラムでは新しい DHCPプールを作成するために『Add』 をクリック して下さい。

    /image/gif/paws/98584/isr-sdm-config15.gif

  3. 追加 DHCPプール ページで、DHCPプール名前を、DHCPプール ネットワーク、サブネット マスク 規定 しま、IP アドレスを開始し、IP アドレスおよびデフォルトルータ パラメータをこの例に示すように終了します:

    isr-sdm-config16.gif

  4. [OK] をクリックします。

    内部 DHCPサーバはルータで設定されます。

MAC 認証で開いた設定して下さい

認証のこの型では、無線クライアントはクライアントの MAC アドレスが認証サーバの許可された MAC アドレスのリストの下にあるときだけ WLANネットワークにアクセスすることができます。 AP はネットワークの RADIUS認証サーバへのワイヤレス クライアント デバイスの MAC アドレスを中継で送り、サーバは許可された MAC アドレスのリストに対してアドレスを確認します。 MAC ベースの認証は EAP 機能がないクライアントデバイスに代替認証方式を提供します。

詳細についてはネットワークに MAC アドレス 認証を参照して下さい。

全体の資料は MAC 認証、802.1x/EAP、また WPA 認証のためにローカル RADIUSサーバを使用します。

この例は MAC 認証と開いたのためにこれらのコンフィギュレーションパラメータを使用します:

  • SSID 名: openmac

  • [VLAN ID]: 2

  • VLAN IP アドレス: 10.2.1.1/16

  • この VLAN/SSID の無線クライアントのための DHCPアドレス 範囲: 10.2.1.5/16 - 10.2.1.10/16

MAC 認証で開いた設定するためにこれらのステップを完了して下さい:

  1. ワイヤレス アプリケーション ホームページで、サービス > VLAN を VLAN を設定するために『Wireless』 をクリック して下さい。

  2. サービスからルーティングを選択して下さい: VLAN ページ。 サービス: VLANルーティング ページは、VLAN を作成し、無線インターフェイスに割り当てます。

    無線インターフェイスの VLAN 2 のコンフィギュレーションウィンドウはここにあります:

    /image/gif/paws/98584/isr-sdm-config17.gif

  3. MAC 認証のためのローカル RADIUSサーバを設定して下さい。 このローカル RADIUSサーバはデータベースの無線クライアントの MAC アドレスを保持し、割り当てをか、または WLANネットワークに認証の結果によってクライアントを否定します。

    1. ワイヤレス ホームページで、セキュリティ > サーバマネージャをローカル RADIUSサーバを設定するために『Wireless』 を選択 して下さい。

      isr-sdm-config18.gif

    2. Server Manager ページで、RADIUSサーバの IP アドレス、共有秘密および認証およびアカウンティングポート設定して下さい。

      それがローカル RADIUSサーバであるので、規定 される IP アドレスはこのワイヤレス インターフェイスのアドレスです。 使用される共有秘密 キーは AAA クライアントコンフィギュレーションに同じであるはずです。

      この例では、共有秘密は cisco です。

      /image/gif/paws/98584/isr-sdm-config19.gif

    3. [Apply] をクリックします。

    4. 既定のサーバー優先セクションを探すためにページをスクロールして下さい。 このセクションで、この RADIUSサーバを選択して下さい(10.2.1.1)この例に示すように MAC 認証のためのデフォルトプライオリティ サーバとして:

      /image/gif/paws/98584/isr-sdm-config20.gif

    5. AAA クライアントおよびユーザ 資格情報を設定するために、セキュリティを > ワイヤレス ホームページからのローカル RADIUSサーバ 『Wireless』 を選択 して下さい。

    6. ローカル RADIUS サーバ ページで、『General Set-up』 をクリック して下さい。

      /image/gif/paws/98584/isr-sdm-config21.gif

    7. General Set-up ページで、示されているように AAA クライアントおよび共有秘密 キーを設定して下さい。

      ローカル RADIUSサーバ設定によって、サーバの IP アドレスおよび AAA クライアントは同じです。

      isr-sdm-config22.gif

    8. 個々のユーザ コンフィギュレーションセクションを探すために General Set-up ページをスクロールして下さい。 個々のユーザではユーザ名 および パスワードで無線クライアントの MAC アドレスを区分して下さい、設定して下さい。

    9. MAC 認証チェックボックスだけ有効に し、そして『Apply』 をクリック して下さい。

      isr-sdm-config23.gif

      認証失敗からのクライアントを時々避けるために、この例に示すように分離なしで連続的な形式のクライアントの MAC アドレスを規定 して下さい。

  4. ワイヤレス アプリケーション ホームページで、セキュリティ > SSID マネージャを SSID および認証種別を設定するために『Wireless』 を選択 して下さい。

    1. セキュリティ: SSID マネージャ ページは、SSID を設定し、無線インターフェイスの SSID を有効に するために step1 で作成される VLAN に SSID を割り当てます。

    2. このページの認証設定セクションの下で、対応した ドロップダウン ボックスから、選択します MAC 認証と『Open Authentication』 を選択 すれば。

    3. サーバ 優先順位を設定するために、MAC 認証するサーバの下で『Customize』 を選択 し、ローカル RADIUSサーバの 10.2.1.1 IP アドレスを選択して下さい。

      これはこのステップを説明する例です:

      /image/gif/paws/98584/isr-sdm-config24.gif

  5. この VLAN の無線クライアントのための内部 DHCPサーバを設定するために、これらのコンフィギュレーションパラメータのこの資料のこの VLANセクションの無線クライアントのための設定内部 DHCPサーバで説明される同じステップを完了して下さい:

    • DHCPプール名前: VLAN2

    • DHCPプール ネットワーク: 10.2.0.0

    • Subnet Mask: 255.255.0.0

    • IP の開始: 10.2.1.5

    • IP の終了: 10.2.1.10

    • デフォルトルータ: 10.2.1.1

802.1x/EAP 認証の設定

この認証タイプは、無線ネットワークに最高レベルのセキュリティを提供します。 EAP の使用によって AP は EAP 互換性がある RADIUSサーバと相互に作用しているのにワイヤレス クライアント デバイスおよび相互認証を行い、ダイナミック ユニキャスト WEPキーを得るために RADIUSサーバを助けます。 RADIUSサーバは送信 する使用したり、またはクライアントから、受け取るすべてのユニキャスト データ 信号のためにそれを AP に WEPキーを送ります。

詳細についてはネットワークに EAP 認証を参照して下さい。

利用可能 な EAP 認証の複数のメソッドがあります。 この資料の全体にわたって EAP 認証で Lightweight Extensible Authentication Protocol (LEAP)を設定する方法を、説明します。 LEAP は認証のためにユーザーの資格情報としてユーザ名 および パスワードを使用します。

EAP 適用範囲が広い認証を(EAP-FAST な) EAP 認証タイプでセキュアなトンネリングによって設定するために、プロシージャのための EAP-FAST な バージョン 1.02 コンフィギュレーション ガイドを参照して下さい。

この例は EAP 認証のためにこれらのコンフィギュレーションパラメータを使用します:

  • SSID 名: leap

  • [VLAN ID]: 3

  • VLAN IP アドレス: 10.3.1.1/16

  • この VLAN/SSID の無線クライアントのための DHCPアドレス 範囲: 10.3.1.5/16 - 10.3.1.10/16

EAP 認証を設定するためにこれらのステップを完了して下さい:

  1. これらのコンフィギュレーションパラメータで VLAN を作成し、設定するために MAC 認証での Configure のステップ開いた 1 および 2 を繰り返して下さい:

    • [VLAN ID]: 3

    • 無線インターフェイス IP アドレス: 10.3.1.1

    • サブネット マスク: 255.255.0.0

  2. それから、クライアント認証のためのローカル RADIUSサーバを設定して下さい。 これを行うために、ステップ 3a に開いたこれらのコンフィギュレーションパラメータの MAC 認証での Configure の 3c を繰り返して下さい:

    • RADIUSサーバの IP アドレス: 10.3.1.1

    • [Shared Secret]: cisco

    EAP 認証のステップ 2 を説明するコンフィギュレーションスクリーンはここにあります:

    /image/gif/paws/98584/isr-sdm-config25.gif

  3. 既定のサーバー優先セクションを探すためにページをスクロールして下さい。 このセクションで、この RADIUSサーバを選択して下さい(10.3.1.1)この例に示すように EAP 認証のためのデフォルトプライオリティ サーバとして。

    /image/gif/paws/98584/isr-sdm-config26.gif

  4. configure のステップ 3e および 3f を開きます MAC 認証と繰り返して下さい。

  5. configure のステップ 3g および 3h を開きます EAP 認証のためのこれらのコンフィギュレーションパラメータの MAC 認証と繰り返して下さい:

    • AAA クライアントIPアドレス: 10.3.1.1

    • 共有秘密: cisco

    • 個々のユーザ セクションの下で、user1 でユーザ名 および パスワードを設定して下さい。

  6. ワイヤレス アプリケーション ホームページで、セキュリティ > SSID マネージャを SSID および認証種別を設定するために『Wireless』 を選択 して下さい。

    1. セキュリティ: SSID マネージャ ページは、SSID を設定し、無線インターフェイスの SSID を有効に するためにステップ 1 で作成される VLAN に SSID を割り当てます。

    2. このページの認証設定セクションの下で、対応した ドロップダウン ボックスから、『eap』 を選択 します 認証を『Open Authentication』 を選択 すれば。 また、ネットワーク EAP 認証型を選択して下さい。

    3. サーバ 優先順位を設定するために、EAP 認証するサーバの下で『Customize』 を選択 し、ローカル RADIUSサーバの 10.3.1.1 IP アドレスを選択して下さい。

    これらのステップを説明する例はここにあります:

    /image/gif/paws/98584/isr-sdm-config27.gif

  7. この VLAN の無線クライアントのための内部 DHCPサーバを設定するために、これらのコンフィギュレーションパラメータのこの資料のこの VLANセクションの無線クライアントのための設定内部 DHCPサーバで説明される同じステップを完了して下さい:

    • DHCPプール名前: VLAN3

    • DHCPプール ネットワーク: 10.3.0.0

    • Subnet Mask: 255.255.0.0

    • IP の開始: 10.3.1.5

    • IP の終了: 10.3.1.10

    • デフォルトルータ: 10.3.1.1

  8. 暗号を無線クライアントの認証の成功にダイナミックキー 管理に使用するために設定して下さい。

    1. ワイヤレス ホームページで、セキュリティ > 暗号化マネージャを暗号化設定を行うために『Wireless』 を選択 して下さい。

    2. ワイヤレスセキュリティ > セキュリティの Encryption Manager 画面: Encryption Manager ページ、VLAN の一定暗号化モードおよびキーのための 3 つを入力して下さい。

    3. 暗号を暗号化モードとして選択し、ドロップダウン ボックスから暗号暗号化アルゴリズムを選択して下さい。

      この例は暗号アルゴリズムとして TKIP を使用します:

      /image/gif/paws/98584/isr-sdm-config28.gif

      マルチ認証を設定している間 SDM によって無線ルータで、時々それかもしれません同一ルータの暗号暗号化モードを使用して 2 つの異なる認証種別を両方設定すること可能性のあるではない入力します。 このような場合、SDM によって行われる暗号化設定はルータで加えられないかもしれません。 これを克服するために、CLI によってそれらの認証種別を設定して下さい。

共用認証を設定して下さい

Cisco は IEEE 802.11b 規格に準拠するために共有鍵認証を提供します。

共有鍵認証の間に、AP は AP と通信するように試みるあらゆるデバイスに非暗号化ユーザ確認のためのテキスト ストリングを伝送します。 認証を要求するデバイスはユーザ確認のためのテキストを暗号化し、AP に送り返します。 ユーザ確認のためのテキストが正しく暗号化される場合、AP は要求元のデバイスが認証するようにします。 非暗号化チャレンジおよび暗号化されたチャレンジは両方監視することができます。 ただし、これは非暗号化のおよび暗号化された文字列の比較によって WEPキーを計算する侵入者から攻撃するために AP を開けたままにします。

詳細についてはアクセス ポイントに共有鍵認証を参照して下さい。

この例は共用認証のためにこれらのコンフィギュレーションパラメータを使用します:

  • SSID 名: 共有される

  • [VLAN ID]: 4

  • VLAN IP アドレス: 10.4.1.1/16

  • この VLAN/SSID の無線クライアントのための DHCPアドレス 範囲: 10.4.1.5/16 - 10.4.1.10/16

共用認証を設定するためにこれらのステップを完了して下さい:

  1. これらのコンフィギュレーションパラメータで VLAN を作成し、設定するために MAC 認証での Configure のステップ開いた 1 および 2 を繰り返して下さい:

    • [VLAN ID]: 4

    • 無線インターフェイス IP アドレス: 10.4.1.1

    • サブネット マスク: 255.255.0.0

  2. ワイヤレス アプリケーション ホームページで、セキュリティ > SSID マネージャを SSID および認証種別を設定するために『Wireless』 を選択 して下さい。

    1. セキュリティ: SSID マネージャ ページは、SSID を設定し、無線インターフェイスの SSID を有効に するために step1 で作成される VLAN に SSID を割り当てます。

    2. このページの認証設定セクションの下で、共用認証を選択して下さい。

      これらのステップを説明するコンフィギュレーションスクリーンはここにあります:

      /image/gif/paws/98584/isr-sdm-config29.gif

    3. [Apply] をクリックします。

  3. この SSID/VLAN のための WEP暗号化を設定して下さい。 それが共有鍵認証であるので、同じキーは認証のために同様に使用されます。 ワイヤレス ホームページで、セキュリティ > 暗号化マネージャを暗号化設定を行うために『Wireless』 を選択 して下さい。

    1. セキュリティ: Encryption Manager ページ、VLAN の一定暗号化モードおよびキーのための 4 つを入力して下さい。

    2. 『WEP Encryption』 を選択 して下さい: 暗号化モードとして必須

    3. この VLAN のための暗号化キーを設定 して下さい。

      このセクションはこれらの暗号化キー設定を使用します:

      • 暗号化キー slot1: 送信する キーとして使用される

      • 暗号化キー サイズ: 40 ビット

      • 16進値の暗号化キー: 1234567890

      同じ暗号化キー スロット(1 無線クライアントで送信する キーとして、この場合)は使用する必要があります。 また、無線クライアントは同じキー値(1234567890 この場合)で無線クライアントがこの WLANネットワークと通信することができるように設定する必要があります。

    このコンフィギュレーションスクリーンはこれらのステップを説明します:

    /image/gif/paws/98584/isr-sdm-config30.gif

  4. この VLAN の無線クライアントのための内部 DHCPサーバを設定するために、説明される同じステップを設定しますこれらのコンフィギュレーションパラメータでこの資料のこの VLANセクションの無線クライアントのための内部 DHCPサーバを完了して下さい:

    • DHCPプール名前: VLAN 4

    • DHCPプール ネットワーク: 10.4.0.0

    • Subnet Mask: 255.255.0.0

    • IP の開始: 10.4.1.5

    • IP の終了: 10.4.1.10

    • デフォルトルータ: 10.4.1.1

WPA 認証を設定して下さい

存在および未来の Wireless LAN システムのために強くデータ 保護およびアクセスコントロールのレベルを上げる WPA は標準、相互運用可能なセキュリティ 機能拡張です。 WPA キーの管理は、次の 2 つの相互排他的な管理タイプをサポートしています。 WPA および WPA-PSK。

詳細については WPA 鍵 管理を使用して参照して下さい。

互いに WPA 鍵 管理、クライアントおよび一対に認証サーバ 認証するの使用 EAP 認証認証方法を使用して、およびクライアント および サーバ 生成する マスタ鍵(PMK)。 WPA を使用する、サーバは PMK を動的に生成し、AP に渡します。

この例は WPA 認証のためにこれらのコンフィギュレーションパラメータを使用します:

  • SSID 名: wpa

  • [VLAN ID]: 5

  • VLAN IP アドレス: 10.5.1.1/16

  • この VLAN/SSID の無線クライアントのための DHCPアドレス 範囲: 10.5.1.5/16 - 10.5.1.10/16

WPA 認証を設定するためにこれらのステップを完了して下さい:

  1. これらのコンフィギュレーションパラメータで VLAN を作成し、設定するために MAC 認証での Configure のステップ開いた 1 および 2 を繰り返して下さい:

    • [VLAN ID]: 5

    • 無線インターフェイス IP アドレス: 10.5.1.1

    • サブネット マスク: 255.255.0.0

  2. WPA がキー管理規格であるので、暗号を WPA 鍵 管理に使用するために設定して下さい。

    1. ワイヤレス ホームページで、セキュリティ > 暗号化マネージャを暗号化設定を行うために『Wireless』 を選択 して下さい。

    2. ワイヤレスセキュリティ > セキュリティの Encryption Manager 画面: Encryption Manager ページ、VLAN の一定暗号化モードおよびキーのための 5 つを入力して下さい。

    3. 暗号を暗号化モードとして選択し、ドロップダウン ボックスから暗号暗号化アルゴリズムを選択して下さい。

      この例は暗号アルゴリズムとして TKIP を使用します:

      /image/gif/paws/98584/isr-sdm-config31.gif

      マルチ認証を設定している間 SDM によって無線ルータで、時々それかもしれません同一ルータの暗号暗号化モードを使用して 2 つの異なる認証種別を両方設定すること可能性のあるではない入力します。 このような場合、SDM によって行われる暗号化設定はルータで加えられないかもしれません。 これを克服するために、CLI によってそれらの認証種別を設定して下さい。

  3. 次 の ステップはクライアント認証のためのローカル RADIUSサーバを設定することです。 これを行うために、ステップ 3a に開いたこれらのコンフィギュレーションパラメータの MAC 認証での Configure の 3c を繰り返して下さい:

    • RADIUSサーバの IP アドレス: 10.5.1.1

    • [Shared Secret]: cisco

    1. 既定のサーバー優先セクションを探すために Server Manager ページをスクロールして下さい。 このセクションで、この RADIUSサーバを選択して下さい(10.5.1.1)この例に示すように EAP 認証のためのデフォルトプライオリティ サーバとして:

      isr-sdm-config32.gif

    2. configure のステップ 3e および 3f を開きます MAC 認証と繰り返して下さい。

    3. configure のステップ 3g および 3h を開きます EAP 認証のためのこれらのコンフィギュレーションパラメータの MAC 認証と繰り返して下さい:

      • AAA クライアントIPアドレス: 10.5.1.1

      • [Shared Secret]: cisco

    4. 個々のユーザ セクションの下で、user2 でユーザ名 および パスワードを設定して下さい。

  4. SSID のための WPA を有効に するために、EAP との開いたか SSID のネットワーク EAP を有効に する必要があります。 ネットワーク EAP を、ワイヤレス アプリケーション ホームページで有効に することは、SSID および認証種別を設定するセキュリティ > SSID マネージャを『Wireless』 を選択 します。

    1. セキュリティ: SSID マネージャ ページは、SSID を設定し、無線インターフェイスの SSID を有効に するために step1 で作成される VLAN に SSID を割り当てます。

    2. このページの認証設定セクションの下で、対応した ドロップダウン ボックスから、『eap』 を選択 します 認証を『Open Authentication』 を選択 すれば。 また、ネットワーク EAP 認証型を選択して下さい。

    3. サーバ 優先順位を設定するために、EAP 認証するサーバの下で『Customize』 を選択 し、ローカル RADIUSサーバの 10.5.1.1 IP アドレスを選択して下さい。

    これらのステップを説明する例はここにあります:

    /image/gif/paws/98584/isr-sdm-config33.gif

  5. 認証されたキー管理 セクションを探すために SSID マネージャ ページをスクロールして下さい。

  6. このセクションで、キー管理 ドロップダウン ボックスから『Mandatory』 を選択 し、WPA チェックボックスを有効に して下さい。

    これらのステップを説明するコンフィギュレーションウィンドウはここにあります:

    /image/gif/paws/98584/isr-sdm-config34.gif

  7. [Apply] をクリックします。

  8. この VLAN の無線クライアントのための内部 DHCPサーバを設定するために、説明される同じステップを設定しますこれらのコンフィギュレーションパラメータでこの資料のこの VLANセクションの無線クライアントのための内部 DHCPサーバを完了して下さい:

    • DHCPプール名前: VLAN 5

    • DHCPプール ネットワーク: 10.5.0.0

    • Subnet Mask: 255.255.0.0

    • IP の開始: 10.5.1.5

    • IP の終了: 10.5.1.10

    • デフォルトルータ: 10.5.1.1

WPA-PSK 認証を設定して下さい

他の WPA 鍵 管理タイプは WPA-PSK と呼ばれます。 WPA-PSK が 802.1X ベースの認証が利用できない Wireless LAN の WPA をサポートするのに使用されています。 この型によって、AP の事前共有キーを設定して下さい。 事前共有キーを ASCII 文字または 16 進数として入力できます。 ASCII文字としてキーを入力する場合、8 のおよび 63 文字の間で入り、AP はパスワードベース 暗号解読法規格(RFC2898)に説明があるプロセスを使用してキーを拡張します。 キーを 16 進数として入力する場合は、64 桁の 16 進数を入力する必要があります。

この例は WPA-PSK 認証のためにこれらのコンフィギュレーションパラメータを使用します:

  • SSID 名: wpa-psk

  • [VLAN ID]: 6

  • VLAN IP アドレス: 10.6.1.1/16

  • この VLAN/SSID の無線クライアントのための HCP アドレス範囲: 10.6.1.5/16 - 10.6.1.10/16

WPA-PSK を設定するためにこれらのステップを完了して下さい:

  1. これらのコンフィギュレーションパラメータで VLAN を作成し、設定するために MAC 認証での Configure のステップ開いた 1 および 2 を繰り返して下さい:

    • [VLAN ID]: 6

    • 無線インターフェイス IP アドレス: 10.6.1.1

    • サブネット マスク: 255.255.0.0

  2. WPA-PSK がキー管理規格であるので、暗号を WPA 鍵 管理に使用するために設定して下さい。

    1. ワイヤレス ホームページで、セキュリティ > 暗号化マネージャを暗号化設定を行うために『Wireless』 を選択 して下さい。

    2. ワイヤレスセキュリティ > セキュリティの Encryption Manager ウィンドウ: Encryption Manager ページ、VLAN の一定暗号化モードおよびキーのための 6 つを入力して下さい。

    3. 暗号を暗号化モードとして選択し、ドロップダウン ボックスから暗号暗号化アルゴリズムを選択して下さい。

      この例は暗号アルゴリズムとして TKIP+WEP 128bit を使用します。

      /image/gif/paws/98584/isr-sdm-config35.gif

      マルチ認証を設定している間 SDM によって無線ルータで、時々それかもしれません同一ルータの暗号暗号化モードを使用して 2 つの異なる認証種別を両方設定すること可能性のあるではない入力します。 このような場合、SDM によって行われる暗号化設定はルータで加えられないかもしれません。 これを克服するために、CLI によってそれらの認証種別を設定して下さい。

  3. SSID のための WPA-PSK を有効に するために、SSID のオープン認証を有効に する必要があります。 オープン認証を有効に するために、WEP暗号化を用いる Configure オープン認証のステップ 6 を繰り返して下さい。

    WPA-PSK のコンフィギュレーションウィンドウはここにあります:

    /image/gif/paws/98584/isr-sdm-config36.gif

  4. 認証されたキー管理 セクションを探すために SSID マネージャ ページをスクロールして下さい。

  5. このセクションで、キー管理 ドロップダウン ボックスから『Mandatory』 を選択 し、WPA チェックボックスを有効に し、ASCII か 16進フォーマットで WPA 事前共有キーを入力して下さい。

    この例は ASCII 形式を使用します。 同じ形式はクライアント側設定で使用する必要があります。 ステップ 5 を説明するコンフィギュレーションウィンドウはここにあります:

    /image/gif/paws/98584/isr-sdm-config37.gif

    この設定で使用される WPA 事前共有キーは 1234567890 です。

  6. [Apply] をクリックします。

  7. この VLAN の無線クライアントのための内部 DHCPサーバを設定するために、説明される同じステップを設定しますこれらのコンフィギュレーションパラメータでこの資料のこの VLANセクションの無線クライアントのための内部 DHCPサーバを完了して下さい:

    • DHCPプール名前: VLAN 6

    • DHCPプール ネットワーク: 10.6.0.0

    • Subnet Mask: 255.255.0.0

    • IP の開始: 10.6.1.5

    • IP の終了: 10.6.1.10

    • デフォルトルータ: 10.6.1.1

無線クライアント 設定

SDM によって ISR を設定した後、ルータがこれらの無線クライアントを認証し、WLANネットワークにアクセスを提供できるように異なる認証種別のための無線クライアントを設定する必要があります。 この資料はクライアント側設定のために ADU を使用します。

WEP暗号化でオープン認証のための無線クライアントを設定して下さい

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、 [New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウが表示されます。ここでオープン認証の設定を行います。

  2. General タブで、クライアント アダプタが使用する Profile Name と SSID を入力します。

    この例では、Profile Name および SSID は openwep です。

    この SSID は、ISR でオープン認証に設定されている SSID と一致している必要があります。

    /image/gif/paws/98584/isr-sdm-config38.gif

  3. Security タブをクリックし、WEP暗号化のための事前共有キー(スタティックWEP)としてセキュリティオプションを残して下さい。

  4. この例に示すように事前共有キーを『Configure』 をクリック し、定義して下さい:

    /image/gif/paws/98584/isr-sdm-config39.gif

  5. オープン認証のために開いたようにプロファイル 管理 ページおよび一定 802.11 認証モードの Advanced タブをクリックして下さい。

    /image/gif/paws/98584/isr-sdm-config40.gif

  6. WEP 認証との開いた確認するために、設定される openwep SSID をアクティブにして下さい。

    isr-sdm-config41.gif

  7. 無線クライアントがルータによって正常に関連付けられることを確認して下さい。 これは show dot11 associations コマンドを使用して無線ルータから詳しく確認することができます。

    次に例を示します。

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0: 
    
    SSID [openwep] :
    
    MAC Address    IP address      Device        Name            Parent         State     
    0040.96ac.e657 10.1.1.5        CB21AG/PI21AG client          self           Assoc    
    
    
    Others:  (not related to any ssid)

MAC 認証で開いたのための無線クライアントを設定して下さい

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、 [New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウが表示されます。ここでオープン認証の設定を行います。

  2. General タブで、クライアント アダプタが使用する Profile Name と SSID を入力します。

    この例では、Profile Name および SSID は openmac です。

    この SSID は、ISR でオープン認証に設定されている SSID と一致している必要があります。

    /image/gif/paws/98584/isr-sdm-config42.gif

  3. Security タブをクリックし、どれもとして MAC 認証を開いたのためのセキュリティオプションに残して下さい。 次に、[OK] をクリックします。

    /image/gif/paws/98584/isr-sdm-config43.gif

  4. MAC 認証との開いた確認するために、設定される openmac SSID をアクティブにして下さい。

    isr-sdm-config44.gif

  5. 無線クライアントがルータによって正常に関連付けられることを確認して下さい。 これは show dot11 associations コマンドを使用して無線ルータから詳しく確認することができます。

    次に例を示します。

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0: 
    
    SSID [openmac] :
    
    MAC Address    IP address      Device        Name            Parent         State     
    0040.96ac.e657 10.2.1.5        CB21AG/PI21AG client1         self           MAC-Assoc
    
    SSID [openwep] : 
    
    
    Others:  (not related to any ssid)

802.1x/EAP 認証のための無線クライアントを設定して下さい

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、 [New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウが表示されます。ここでオープン認証の設定を行います。

  2. General タブで、クライアント アダプタが使用する Profile Name と SSID を入力します。

    この例では、プロファイル名と SSID は leap です。

    この SSID は、ISR で 802.1x/EAP 認証に設定されている SSID と一致している必要があります。

  3. プロファイル 管理の下で、Security タブをクリックし、802.1X としてセキュリティオプションを設定し、適切な EAP タイプを選択して下さい。

    このドキュメントでは、認証の EAP の種類として LEAP を使用しています。

  4. LEAP ユーザ名 および パスワード設定を行うために『Configure』 をクリック して下さい。

    isr-sdm-config45.gif

    ユーザ名 および パスワード設定の下で、この例はネットワークに接続することを試みている間クライアントが正しいユーザ名 および パスワードを入力するためにプロンプト表示されるように手動で ユーザネームおよびパスワードのためにプロンプト表示することを選択します。

  5. [OK] をクリックします。

    isr-sdm-config46.gif

  6. EAP 認証を確認するために、設定される SSID をアクティブにして下さい。 LEAP ユーザ名 および パスワードを入力するためにプロンプト表示されます。 両方の資格情報を user1 として入力し、『OK』 をクリック して下さい。

    isr-sdm-config47.gif

  7. 無線クライアントの認証に成功され、IP アドレスと割り当てられることを確認して下さい。 これは ADU ステータスウィンドウから明確に確認することができます。

    /image/gif/paws/98584/isr-sdm-config48.gif

    ルータの CLI からの同等の出力はここにあります:

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0: 
    
    SSID [leap] : 
    
    MAC Address    IP address      Device        Name            Parent         State     
    0040.96ac.e657 10.3.1.5        CB21AG/PI21AG client2         self           EAP-Assoc
    
    SSID [openmac] : 
    
    SSID [openwep] : 
    
    
    Others:  (not related to any ssid)

共用認証のための無線クライアントを設定して下さい

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、 [New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウが表示されます。ここでオープン認証の設定を行います。

  2. General タブで、クライアント アダプタが使用する Profile Name と SSID を入力します。

    この例では、Profile Name および SSID は共有されます

    この SSID は、ISR でオープン認証に設定されている SSID と一致している必要があります。

  3. Security タブをクリックし、WEP暗号化のための事前共有キー(スタティックWEP)としてセキュリティオプションを残して下さい。 それから、『Configure』 をクリック して下さい。

    isr-sdm-config49.gif

  4. この例に示すように事前共有キーを定義して下さい:

    /image/gif/paws/98584/isr-sdm-config50.gif

  5. [OK] をクリックします。

  6. プロファイル 管理の下で、共用認証のために共有されるように Advanced タブおよび一定 802.11 認証モードをクリックして下さい。

  7. 確認することは認証を、アクティブにします設定された共用 SSID を共有しました。

  8. 無線クライアントがルータによって正常に関連付けられることを確認して下さい。 これは show dot11 associations コマンドを使用して無線ルータから詳しく確認することができます。

    次に例を示します。

    Router#show dot11 associations
    802.11 Client Stations on Dot11Radio0: 
    
    
    
    SSID [shared] : 
    
    MAC Address    IP address      Device        Name            Parent         State     
    0040.96ac.e657 10.4.1.5        CB21AG/PI21AG WCS             self           Assoc

WPA 認証のための無線クライアントを設定して下さい

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、 [New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウが表示されます。ここでオープン認証の設定を行います。

  2. General タブで、クライアント アダプタが使用する Profile Name と SSID を入力します。

    この例では、Profile Name および SSID は wpa です。

    この SSID は、ISR で WPA(EAP を使用した)認証に設定されている SSID と一致している必要があります。

  3. プロファイル 管理の下で、Security タブをクリックし、WPA/WPA2/CCKM としてセキュリティオプションを設定し、適切な WPA/WPA2/CCKM EAP タイプを選択して下さい。

    このドキュメントでは、認証の EAP の種類として LEAP を使用しています。

  4. LEAP ユーザ名 および パスワード設定を行うために『Configure』 をクリック して下さい。

    isr-sdm-config51.gif

    ユーザ名 および パスワード設定の下で、この例はネットワークに接続することを試みている間クライアントが正しいユーザ名 および パスワードを入力するためにプロンプト表示されるように手動で ユーザネームおよびパスワードのためにプロンプト表示することを選択します。

  5. [OK] をクリックします。

  6. EAP 認証を確認するために、設定される閏 SSID をアクティブにして下さい。 LEAP ユーザ名 および パスワードを入力するためにプロンプト表示されます。 両方の資格情報を user2 として入力し、そして『OK』 をクリック して下さい。

  7. 無線クライアントの認証に成功され、IP アドレスと割り当てられることを確認して下さい。 これは ADU ステータスウィンドウから明確に確認することができます。

    /image/gif/paws/98584/isr-sdm-config52.gif

WPA-PSK 認証のための無線クライアントを設定して下さい

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、 [New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウが表示されます。ここでオープン認証の設定を行います。

  2. General タブで、クライアント アダプタが使用する Profile Name と SSID を入力します。

    この例では、Profile Name および SSID は wpa-psk です。

    この SSID は、ISR で WPA-PSK 認証に設定されている SSID と一致している必要があります。

  3. [Profile Management] で [Security] タブをクリックし、セキュリティ オプションを [WPA/WPA2 Passphrase] として設定します。 それから、WPA パスフレーズを設定するために『Configure』 をクリック して下さい。

    /image/gif/paws/98584/isr-sdm-config53.gif

  4. WPA 事前共有キーを定義します。 キーは長さが 8 つから 63 の ASCII文字であるはずです。 次に、[OK] をクリックします。

    /image/gif/paws/98584/isr-sdm-config54.gif

  5. WPA-PSK を確認するために、設定される wpa-psk SSID をアクティブにして下さい。

  6. 無線クライアントがルータによって正常に関連付けられることを確認して下さい。 これは show dot11 associations コマンドを使用して無線ルータから詳しく確認することができます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

トラブルシューティングのためのコマンド

次の debug コマンドを使用して、設定のトラブルシューティングを行うことができます。

  • 全 dot11 AAA オーセンティケータをアクティブにします MAC および EAP 認証パケットのデバッグをデバッグして下さい

  • debug radius authentication:サーバとクライアント間の RADIUS ネゴシエーションを表示します。

  • debug radius local-server packets:送受信される RADIUS パケットの内容を表示します。

  • debug radius local-server client:失敗したクライアント認証に関するエラー メッセージを表示します。


関連情報


Document ID: 98584